В Казахстане усиливают защиту персональных данных и контроль за их безопасностью. Начиная с 2020 года, в соответствующее законодательство
неоднократно вносились изменения и дополнения, были расширены обязательства
собственников, операторов и третьих лиц при сборе и обработке личных данных. В этой статье мы рассмотрим специфику последних изменений в данной области.
Что изменилось в законодательстве
Как известно, на сбор и обработку персональных данных необходимо согласие работника, клиента или пользователя. Оно дается разными способами – электронно или через подписание документа. Раньше каждая компания сама разрабатывала текст такого согласия, исходя из законодательства и целей обработки данных. Теперь в законе прописана форма согласия на сбор и обработку персональных данных.
Однако в законе не указано, необходимо ли переподписывать согласия, полученные до введения в действие изменений. Конечно, данный процесс весьма трудоемкий. Но мы в любом случае полагаем, что если текущее согласие на сбор и обработку персональных данных компаний не соответствует новым требованиям закона, то его следует переподписать, чтобы исключить риск несоответствия законодательным требованиям.
Также в законе появилось требование о том, что собственники и операторы баз персональных данных должны утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных. А вот требования к содержанию такой политики не установлены.
Собственники и операторы теперь обязаны регистрировать период действия согласия на обработку персональных данных, а также следить за тем, можно ли передавать эти данные третьим лицам, включая трансграничную передачу, и можно ли распространять персональные данные в общедоступных источниках. При этом из внесенных изменений не ясно, необходимо ли вести учет каждого действия, настроив внутренние процессы компании, либо будет достаточно вести учет вручную собственником или оператором.
Нарушение закона о персональных данных
В Казахстане уже есть практика по привлечению к административной ответственности за подобные нарушения, в частности за то, что не были применены необходимые меры по защите персональных данных. Этот вопрос находится на контроле Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. Обычно нарушения выявляются во время проверок или на основании обращения граждан.
Например, к ответственности были привлечены крупный местный банк и телекоммуникационный оператор. Они не применяли средства идентификации и аутентификации пользователей, также у них не было назначено ответственное лицо за организацию обработки персональных данных, и, соответственно, они не оповещали об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа.
Помимо крупных субъектов бизнеса к административной ответственности по той же статье были привлечены и управляющие организации столичных жилых комплексов, коммерческие организации, одно должностное лицо государственного органа, а также одно предприятие водоснабжения и водоотведения.
Недавно гражданин обратился с вопросом о правомерности безотзывного и безусловного согласия банка второго уровня, в котором не указан перечень собираемых персональных данных, а также цели такого сбора и обработки. Министерство признало, что требование о предоставлении безотзывного и безусловного согласия на сбор и обработку персональных данных противоречит законодательству Республики Казахстан о персональных данных и их защите. Министерство также подчеркнуло, что собственник и оператор обязаны определить перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач и конкретизировать цели, для которых осуществляется сбор и обработка персональных данных.
Вышеуказанные примеры показывают, что государство, помимо законодательных изменений, принимает реальные меры к привлечению к ответственности субъектов предпринимательства и усиливает контроль за защитой персональных данных в Казахстане.
Незаконное распространение персональных данных в открытом доступе
Все чаще в Казахстане появляются новости об «утечке» персональных данных граждан. Помимо этого, по информации председателя Комитета информационной безопасности, от казахстанцев все чаще поступают жалобы на частные интернет-ресурсы, которые распространяют персональные данные в открытом доступе. Так, в 2021 году к административной ответственности в виде штрафа (20 МРП) были привлечены два частных интернет-ресурса, распространяющие незаконно полученные личные данные.
В связи с такой практикой привлечения к ответственности интернет-ресурсов следует отметить еще одно изменение в Законе «О персональных данных и их защите» : ранее в статье 9 было предусмотрено, что сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях осуществления законной деятельности СМИ при условии соблюдения требований законодательства по обеспечению прав и свобод человека и гражданина. Данное положение подразумевало деятельность всех СМИ, включая интернет-ресурсы. Затем было внесено изменение, согласно которому обобщенное понятие СМИ было исключено, и сбор и обработка без согласия допускаются во время осуществления законной профессиональной деятельности журналиста и деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности. Данное изменение было внесено для устранения пробелов в законодательстве и воспрепятствования интернет-ресурсам злоупотребления своими полномочиями публиковать персональные данные без согласия субъектов.
Помимо привлечения к административной ответственности, в Казахстане также предусмотрена возможность приостановления/прекращения деятельности СМИ, однако такая практика пока не распространена.
Например, в Российской Федерации по факту распространения материалов, содержащих персональные данные несовершеннолетних граждан без их согласия или согласия законных представителей и других систематических нарушений требований законодательства о персональных данных, допущенных редакцией издания, была прекращена деятельность одной из газет на основании искового заявления Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Верховный суд РФ поддержал решение суда первой инстанции.
Помимо привлечения к ответственности, в Российской Федерации суды также возмещают гражданам моральный вред, причиненный незаконным распространением персональных данных. Так, в одном из дел гражданин обратился в суд для признания незаконным распространение газетой персональных данных, а также его личного изображения. Он попросил компенсацию морального вреда и публикации опровержения. Суд первой инстанции признал незаконным распространение газетой персональных данных, а также использование изображения гражданина в оспариваемой статье. Суд взыскал с редакции газеты в пользу истца компенсацию морального вреда. Определением апелляционного суда решение суда первой инстанции оставлено без изменений.
В Казахстане в соответствии с положениями Гражданского кодекса также возможна компенсация морального вреда. На сегодняшний день в Казахстане только начала формироваться соответствующая практика, однако она неоднообразна, и удовлетворение исковых требований зависит от тяжести причиненных нравственных страданий, вреда, причиненного гражданину в результате незаконного использования его персональных данных. Важно также отметить, что компенсации морального вреда удовлетворяются в разумном размере, то есть в зависимости от характера причиненных нравственных страданий.
Учитывая вышеизложенное и законодательные изменения, компаниям, у которых есть собственные интернет-ресурсы, а также средствам массовой информации, следует уделять большее внимание публикуемой информации и соблюдать требования законодательства, чтобы избежать возможного приостановления / прекращения деятельности, а также судебных исков.
Исходя из практики привлечения к ответственности и законодательных изменений, можно сделать вывод, что в Казахстане взят курс на внедрение международных стандартов и принципов защиты персональных данных, в частности GDPR Европейского союза (General Data Protection Regulation). Полагаем, что правоприменительная практика как со стороны граждан, так и со стороны уполномоченных органов будет прогрессивно расширяться, и не исключаем, что количество судебных разбирательств по факту незаконного сбора, хранения и распространения персональных данных может возрасти.
Компаниям, работающим с персональными данными, нужно провести анализ своей деятельности и убедиться, что необходимые требования соблюдены, чтобы избежать ответственности. Ведь это может нанести не только материальный ущерб, но и повлечь негативные репутационные риски.
Эксперты компании «Делойт» Дильбара Кожамкулова и Карина Шамсутдинова